Dans cette édition du digest AdGuard : ChatGPT fait face à un premier procès pour diffamation et à d'autres problèmes réglementaires, le marché du dark web vendant des identifiants volés implose, les plateformes de récupération d'alcool divulguent des données aux annonceurs, alors que Google donne aux utilisateurs plus de contrôle sur les données in-app.

L'Italie pose des conditions au retour de ChatGPT, et elles concernent toutes la protection de la vie privée

L'Italie a remis à OpenAI, une startup américaine à l'origine de ChatGPT, une liste d'exigences à satisfaire si elle veut que son chatbot massivement populaire soit débloqué dans le pays. ChatGPT est inaccessible en Italie depuis le 31 mars, après que le régulateur local l'a accusé d'avoir violé la loi européenne sur la protection des données (GDPR).

Aujourd'hui, le régulateur italien a dressé une liste de choses qu'OpenAI doit faire pour mettre ChatGPT en conformité. OpenAI doit notamment clarifier la base juridique du traitement des données des utilisateurs pour entraîner ses algorithmes d'IA, donner aux utilisateurs et aux non-utilisateurs un moyen de corriger toute fausse information diffusée par le chatbot à leur sujet ou, si cela est "techniquement irréalisable ", faire en sorte que ces données soient supprimées. En outre, les utilisateurs et les non-utilisateurs devraient avoir le droit de refuser que leurs données soient traitées. Enfin, le régulateur italien a exigé qu'OpenAI mette en place un système de vérification de l'âge qui empêcherait les utilisateurs de moins de 13 ans d'accéder au chatbot. L'Italie n'est pas la seule à prendre OpenAI à partie : un organisme européen de surveillance de la vie privée a mis en place un groupe de travail spécial sur le ChatGPT pour aider les États membres de l'UE à aligner leurs positions sur la question.

Ce sera intéressant de voir comment OpenAI franchira l'obstacle du GDPR, car les outils alimentés par l'IA, y compris ChatGPT, ne sont pas conçus pour être respectueux de la vie privée. Les modèles d'IA sur lesquels ChatGPT et d'autres outils d'IA, tels que DALLE-E, sont construits ont été formés à partir de grandes quantités de données extraites du web sans le consentement de l'utilisateur. Bien qu'il soit possible de retirer ses données de l'ensemble de formation de ChatGPT et de supprimer son compte, il est difficile de faire "désapprendre" quelque chose à l'IA. En outre, il n'existe pas de moyen sûr de savoir si vos données ont réellement été supprimées pour de bon. Quoi qu'il en soit, si l'Italie et OpenAI parviennent à résoudre leurs problèmes, cela pourrait servir d'exemple pour d'autres pays où le GDPR s'applique.

Salut le robot IA, on se voit au tribunal ! Un maire dénonciateur affirme que ChatGPT l'a diffamé

Pour l'instant, cependant, ChatGPT est dans les câbles et fait face à de nouveaux défis juridiques chaque jour. Ce n'est un secret pour personne que les grands modèles de langage peuvent "halluciner", c'est-à-dire diffuser des informations erronées ou même "inventer" des faits. C'est apparemment ce qui s'est passé dans le cas d'un maire australien qui pourrait intenter le premier procès en diffamation contre OpenAI. Le fonctionnaire affirme que ChatGPT a faussement prétendu qu'il avait purgé une peine pour corruption, portant ainsi atteinte à sa réputation. En fait, c'est le maire qui a dénoncé le système de corruption et il n'a jamais été inculpé. L'équipe juridique du maire a donné à OpenAI 28 jours pour corriger l'erreur ou faire face à une action en justice. Le maire pourrait demander plus de 200 000 dollars de dommages et intérêts s'il mettait à exécution sa menace de poursuivre OpenAI.

OpenAI s'est généralement dégagée de la responsabilité des résultats du chatbot en avertissant qu'il "écrit parfois des réponses à l'apparence plausible mais incorrectes ou absurdes " C'est difficile de dire si le maire mettra à exécution sa menace de poursuivre OpenAI, mais s'il le fait, nous prendrons certainement notre pop-corn pour regarder le spectacles, car cela pourrait créer un précédent pour l'avenir.

Quelle que soit l'issue de l'affaire, une chose est sûre : à mesure que l'IA devient plus apte à élaborer des réponses crédibles et que de plus en plus de personnes l'utilisent sur le lieu de travail, la question de savoir qui doit être tenu responsable de ses erreurs et comment mettre fin à la propagation de faussetés est légitime.

Des start-ups spécialisées dans la réhabilitation des alcooliques communiquent les données de leurs utilisateurs à des annonceurs publicitaires

Il n'y a pratiquement personne en qui vous ayez plus confiance que votre médecin, et il n'y a guère de moment plus vulnérable que celui où vous luttez contre une dépendance. Mais les 100 000 patients dont les données personnelles ont été divulguées par les startups de réhabilitation de l'alcool en ligne, Monument et Tempest, pourraient désormais y réfléchir à deux fois avant de confier leurs données à des plateformes de soins de santé en ligne.

Dans une fuite signalée parTechCrunch, Monument, qui a racheté Tempest en 2022, a révélé qu'elle avait peut-être exposé un vaste ensemble de données personnelles et médicales de patients à des annonceurs, dont Facebook, Google, Microsoft et Pinterest. Les données ont été transmises aux géants de la publicité par le biais de pixels de suivi intégrés au site de Monument depuis 2020 et au site de Tempest depuis 2017. L'entreprise a déclaré qu'elle n'avait entièrement supprimé les traceurs tiers qu'en février de cette année. Les pixels de suivi sont des bouts de code que les propriétaires de sites web peuvent placer sur leur site pour suivre les actions des utilisateurs ; ils aident également les annonceurs à mesurer les performances de leurs publicités et à les cibler. Les informations qui auraient pu être partagées comprennent : le nom des patients, leur date de naissance, leur adresse électronique, leur numéro de téléphone, leur adresse personnelle, leur numéro d'assurance, ainsi que des informations sensibles telles que des photos, des informations relatives à des rendez-vous, des services sélectionnés et des réponses à des enquêtes.

Il va sans dire que les patients n'ont pas consenti à ce que leurs données privées et leurs traitements soient partagés avec des spécialistes de la publicité. Cet incident est malheureusement loin d'être isolé et fait suite au cas de deux plateformes de santé mentale qui ont admis avoir fait à peu près la même chose le mois dernier. Ces pratiques en matière de données sont mauvaises, regrettables et bien trop courantes. Si vous devez absolument confier vos données à des fournisseurs de soins de santé en ligne, assurez-vous de choisir des fournisseurs réputés. Cependant, même ça n'est pas une garantie.

Les ‘Cookie monsters’ dénoncent un site Internet qui vendait des informations d'identification volées

La plateforme Genesis, qui était un lieu de prédilection pour les informations d'identification et les empreintes digitales volées (pour en savoir plus sur ce qu'est une empreinte digitale lisez notre article), a cessé ses activités grâce à un effort commun du FBI et de ses homologues des services répressifs du monde entier.

La notoire place de marché sur invitation du dark web a été démantelée dans le cadre de l' "Opération Cookie Monster". Cette opération a conduit à l'arrestation de 120 personnes, dont des utilisateurs présumés du site, et a donné lieu à 200 perquisitions dans le monde entier. Les autorités ont tenu à cibler les utilisateurs, et pas seulement les administrateurs du site : *Depuis sa création en 2018 et avant sa fin ignominieuse, la place de marché a donné accès à environ 80 millions d'identifiants de comptes volés, tels que des noms d'utilisateur et des mots de passe. Les empreintes digitales des appareils également proposées sur le site permettaient aux criminels de contourner les protections anti-fraude.

La saisie de Genesis est une bonne nouvelle, mais il est peu probable que nous ayons vu sa dernière itération. Et sa disparition n'est en aucun cas la fin de l'usurpation d'identité en ligne. Le problème est que de nombreuses personnes divulguent volontairement leurs informations sensibles soit en les partageant sur les médias sociaux, soit en les confiant à des tiers peu scrupuleux. Le surpartage est contagieux et il est dans notre intérêt d'aller à l'encontre de cette tendance.

Google facilite la suppression du compte et des données de l'application

Google souhaite que les développeurs d'applications de son Play Store permettent aux utilisateurs de supprimer facilement leur compte et les données qui y sont associées. Les utilisateurs devraient pouvoir le faire à la fois dans l'application et sur le web. Google affirme qu'en mettant en œuvre cette politique, il donne aux utilisateurs un meilleur contrôle sur leurs données in-app.

Grâce à cette règle, les utilisateurs n'auront plus à télécharger à nouveau l'application pour demander la suppression de leur compte. Ils pourront le faire via un lien web. Lorsque l'utilisateur demandera la suppression de son compte, les développeurs devront également supprimer toutes les données liées à ce compte, à moins qu'ils n'aient des "raisons légitimes" de les conserver. Ils devront également expliquer en quoi consistent ces "raisons légitimes", telles que la prévention de la fraude. Les développeurs ont jusqu'au 7 décembre de cette année pour fournir davantage d'informations sur leurs pratiques en matière de suppression des données, et les utilisateurs pourraient voir les changements l'année prochaine. La règle introduite par Google est similaire à celle mise en place par l'App Store en 2021. Apple a exigé que les applications qui permettaient la création de comptes permettent aux utilisateurs de supprimer leurs comptes, mais uniquement à partir de l'application.

C'est une chose positive quand les grandes entreprises technologiques comme Google redonnent aux utilisateurs un certain pouvoir sur leurs données personnelles, et notre seul regret est que cela ne soit pas arrivé plus tôt. Toutefois, il faut également noter qu'à moins qu'il n'existe un moyen de vérifier que les données ont effectivement été supprimées, des vendeurs d'applications peu scrupuleux pourraient toujours les conserver.